Перейти к содержанию
Правила раздела

компьютер сам выключается

Максим Павельев

От Максим Павельев
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Удалите Zaxar, Pbot через установку программ в панели управления


HiJackThis (из каталога автологгера) профиксить

O4 - HKCU\..\Run: [PBot] "C:\Users\MainUser\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\MainUser\AppData\Roaming\PBot\launchall.py"
O4 - HKCU\..\Run: [Zaxar] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKCU\..\Run: [ccamyuyxhq] explorer "http://imatiro.ru/?utm_source=uoua03&utm_content=2ab9a970874b6c3a100ddbe365669ec3&utm_term=36BEC3B5CD46CA95743BB5A67CD401B6&utm_d=20160417"
O4-32 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
O22 - ScheduledTask: (Ready) A7D005AF7-7E19-4ED7-A237-8D30C34C4E20 - \Microsoft\Windows - "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe" --getupdate-ppapi-plugin
O22 - ScheduledTask: (Ready) InternetBF - {root} - "C:\Users\MainUser\AppData\Local\Amigo\Application\amigo.exe" http://journalslives.ru/peoplesm (file missing)
O22 - ScheduledTask: (Ready) InternetSF - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://thisgo.su/cgosm (file missing)
O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" (file missing)
O22 - ScheduledTask: (Ready) Soft installer - {root} - "C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe" subid=792;src=installcube;scheduler=1

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 TerminateProcessByName('C:\Users\MainUser\AppData\Roaming\svchost.exe');
 QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 QuarantineFile('C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe','');
 QuarantineFile('C:\Users\MainUser\AppData\Roaming\PBot\launchall.py','');
 QuarantineFile('C:\Users\MainUser\AppData\Roaming\svchost.exe','');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe','32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser.lnk','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\PBot\launchall.py','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\svchost.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetBF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "InternetSF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A7D005AF7-7E19-4ED7-A237-8D30C34C4E20" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true, ' ');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser');
 DeleteFileMask('C:\Users\MainUser\AppData\Local\Hostinstaller', '*', true, ' ');
 DeleteDirectory('C:\Users\MainUser\AppData\Local\Hostinstaller');
 DeleteFileMask('C:\Users\MainUser\AppData\Roaming\PBot', '*', true, ' ');
 DeleteDirectory('C:\Users\MainUser\AppData\Roaming\PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ccamyuyxhq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.
 
Ссылка на комментарий
Поделиться на другие сайты
Максим Павельев Продвинутый

Максим Павельев

Опубликовано
  • Автор
Опубликовано

KLAN-5672677429

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

Riskware application which may harm your computer was detected in files:
644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe - not-a-virus:Downloader.NSIS.Agent.afp
3738792118_installcube.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen
svchost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.tb

No malware detected in files:
launchall.py

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

This is an automatically generated message. Please, do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

AdwCleaner_S0.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • iaroslav
      Майнер на компьютере
      От iaroslav
      Я подозреваю что у меня майнер или троян так как у меня не открываются параметры( все способы перепробовал) а также при открытии например панели управления выскакивает табличка: операция отменена из за огранечений..... Обратитесь к администратору хотя я и есть администратор. Перед этим я использовал AVbr и только потом AutoLogger
      AV_block_remove_2025.02.02-17.03.log report2.log report1.log CollectionLog-2025.02.02-17.19.zip
    • egor536457253453
      Нашел майнер на компьютере
      От egor536457253453
      Недавно пытался обойди блокировку дискорда, но получил майнер, пытался его удалить через Kaspersky Virus Removal Tool и Dr.Web CureIt, но ничего не помогло, помогите пожалуйста. ЛОГИ:

      CollectionLog-2025.02.04-10.10.zip
    • Golem555
      Майнер жрёт оперативку и компьютер тормозит
      От Golem555
      CollectionLog-2025.02.21-22.40.zip
    • ARKHIPOV
      [РЕШЕНО] На компьютере обнаружил вирус майнера, не удаляется Касперским
      От ARKHIPOV
      Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней.
      CollectionLog-2025.02.18-11.00.zip
    • Sergei Lomov
      Майнер на компьютере
      От Sergei Lomov
      Здравствуйте, возникла проблема после скачивания и запуска игры с торента, сначала перестал открываться браузер хром появлялось сообщение “Не удается получить доступ к объекту на который ссылается ярлык.Возможно , отсутствуют необходимые разрешения” ,после чего пробовал установить антивирус на что мне появлялось сообщение - “Операция отменена из-за ограничений, действующих на этом компьютере.Обратитесь к системному администратору”. Не мог зайти на ваш сайт с компьютера перекидывало на сайт dns.google.Скачал программу autologger, удалось открыть только в безопасном режиме
      CollectionLog-2024.12.03-20.17.zip
×
×
  • Создать...